[Vol.8] 해외에서 개인정보가 이용될 때, 개인정보보호를 도와줄 수 있는 자율보호제도
해외에서 개인정보가 이용될 때, 개인정보보호를 도와줄 수 있는 자율보호제도: APEC CBPRs와 PRP 인증
김범수 ([email protected])
연세대학교 정보대학원 교수
OECD SPDE (정보보호) 부의장
개인정보의 국제적 활용과 보호
페이스북, 텔레그램, 트위터, 인스타그램과 같은 소셜네트워크서비스와 유튜브, 넷플릭스 같은 온라인 서비스 이용이 증가하면서 자연스럽게 개인 식별정보를 포함한 구체적인 서비스 이용 내역 등이 해외 서버를 통해 수집 및 처리되고 있다. 개인이 해외여행을 가는 경우 항공사는 테러방지 등의 목적으로 개인 식별정보를 수집하여 국가기관에 제공하고, 또 회원프로그램 등을 통한 서비스를 위하여 관련된 항공사에 제공하고 있다.
알리익스프레스, 아마존 등을 통한 해외직구 과정에서도 더 많은 소비자가 자신의 이름과 배송지 주소, 신용카드번호, 개인통관 고유번호 등을 인터넷 쇼핑몰에 제공하고 있다. 이처럼 국제적 소셜네트워크 및 온라인 서비스, 여행, 쇼핑 등을 이용하는 과정에서 개인의 필요 때문에 혹은 동의를 받고 개인정보가 해외로 이전되는 사례가 급격히 증가하고 있다.
주목할 점은 외국의 정부 기관이나 기업이 대한민국 개인의 정보를 잘 보호할 수도 있지만, 그렇지 못할 가능성 역시 매우 높다는 것이다. 국가 간에 존재하는 사회적, 문화적, 제도적 차이가 상당한 것을 고려 했을 때, 대한민국의 법과 제도가 적용되기 어려운 해외에서는 개인정보의 효과적인 보호가 더더욱 어려울 수 있다. 각 국가 혹은 권역별 제도와 문화의 차이점을 고려했을 때 정보보호와 관련하여 더욱더 실효성 있는 국제간 정보보호 제도를 어떻게 만들어 갈 것인지가 더욱 중요한 시점이라 하겠다. 한편 과거에는 개인정보의 국가 간 이전에 대한 법 제도를 검토할 때는 대한민국 기업이 처리하고 있는 외국인의 개인 정보와 해외기업이 처리하고 있는 우리 국민의 개인정보 현황을 분석하고, 기업 규제를 통한 개인정보보호를 위한 법 개정이 필요한지를 검토하는 것이 핵심 사안이었다. 현재 논의되고 있는 국제간 정보보호 정책과 제도의 초점은 개인에 관심을 두고, 단순한 기업 활동의 규제라기보다는 개인 차원에서 국경을 넘어 이전되는 정보를 어떻게 실질적으로 보호할 것인지에 더 관심이 맞춰지고 있다.
APEC CBPRs 제도의 주요 특징
지난 2011년 아시아태평양경제협력체(APEC, Asia-Pacific Economic Cooperation)에서 출범한 CBPRs(the Cross-Border Privacy Rules System)제도에는 현재 미국, 멕시코, 일본, 캐나다, 대한민국, 싱가포르, 호주, 대만 등 8개국이 가입하고 있으며, 필리핀, 태국 등의 국가가 참여를 검토하고 있다. 전문인증기관(Accountability Agents)으로는 TrustArc, JIPDEC 등 3개 기관이 있으며, 올해에는 싱가포르의 IMDA(Info-communications Media Development Authority)와 한국인터넷진흥원이 새롭게 인증기관으로서 역할을 수행하기 위한 준비를 하고 있다.
그동안 우리나라는 APEC 개인정보보호위원회에서 CBPRs를 비롯한 개인정보보호 관련 제도의 수립에 적극적으로 참여해 왔다. APEC CBPRs 제도는 유럽 국가에 의무적으로 적용되는 개인정보보호 관련 법 제도인 GDPR(General Data Protection Regulation)과는 그 성격이 매우 다르다. 세부적으로, 참여 하는 각 국가의 법제도 개정을 의무적으로 요구하지 않으며, APEC 내외의 참여국이나 기업의 자발적인 참여를 강조하고 있다. 또한 CBPRs 제도에서 제시되고 있는 50개 인증항목 외에 별도의 항목을 개발하여 추가할 수 있으며, 인증항목의 통과가 해당 국가의 법이나 제도에서 정하는 의무사항을 이행한 것으로 간주되지 않을 수도 있다.
개인정보의 국외이동과 국제적 개인정보보호수준 인증제도
기업이 인증을 준비하고 그 심사를 받는지 여부가 자유로운 의지에 의해 결정되는 자율적 정보보호 제도이다. 또한, 정보보호 실효성을 확보하기 위한 정보보호 주관 행정기관 감독과 그것을 통한 효과적 피해구제를 주요 특징으로 한다. 요약하면, CBPRs 및 PRP(개인 정보수탁자 인증, Privacy Recognition for Processors)는 비강제성, 자발성, 탄력성, 비대체성의 네 가지 특징을 갖고 있다. 이 제도는 그동안 우리 정부에서 지속해서 추진하였지만 큰 성과를 얻기 어려웠던 자율규제 제도의 대표적인 사례라 할 수 있다.
아시아태평양경제협력체는 미국 하와이대학 동서연구소(East-West Center)에서 국제간 프라이버시 인증 및 보호제도(CBPRs) 활성화를 위한 국제워크숍을 6월 18일부터 2일간 개최하였다. 이번 워크숍에서는 지난 워크숍에서 제기된 전문인증기관(Accountability Agents)의 효과적 운영과 관련된 깊이 있는 논의가 진행됐다. 즉, 작년 12월 필리핀 마닐라에서 지적된 바와 같이 전문인증기관(Accountability Agents)의 결정과 운영이 CBPRs 활성화를 위한 가장 핵심적인 요소이며, 인증심사에 드는 비용이 중소기업들이 감당하기 어렵다는 점 등에 대한 구체적 논의가 이루어졌다. 이러한 연유로 이번 워크숍에서는 국경을 초월하여 빠르게 이동하는 개인정보의 흐름을 방해하지 않으면서도 개인정보를 효과적으로 보호하기 위한 “전문인증기관(Accountability Agents)의 역할”과 관련된 제도의 지속적 확산 방안에 대해 APEC 주요 국가의 대표들이 의견을 교환하는 자리가 마련됐다. 더불어 이번 워크숍에 참석한 아시아 태평양 연안 주요 국가의 대표들은 각국의 서로 다른 정보보호 문화와 제도에도 불구하고, 더욱 효과적인 개인정보 보호를 위해 CBPRs 제도의 시행에 있어서 상호합의점을 찾아가는 것이 중요하다는 점에 인식을 같이했다.
한국 대표로 APEC 워크숍에 참석한 연세대학교 바른ICT연구소 김범수 소장은 지난 10여 년간 APEC CBPRs 제도의 기획에 함께 참여해 왔던 Josh Harris 등 프라이버시 전문가들과 함께 주요 국가의 꾸준한 노력을 기반으로 APEC CBPRs가 중요한 국제적 개인정보보호 체계의 하나로 자리매김해 가고 있다는 점에 인식을 같이했다. 또한, 최근 OECD, ICDPPC 등에서 제기된 우려와 달리 이번 행사에 참여한 관계자들의 개인정보 국제 협력에 대한 높은 관심과 참여국의 축적된 경험을 바탕으로 APEC CBPR 제도가 지속해서 발전할 수 있을 것으로 전망했다. 인증 제도의 효과적인 운영 방침에 대한 논의도 진행됐다. 예를 들어, 한국 대표는 정보보호 인증 제도 운용 사례 논의를 통해 PIMS(2011~2018년)와 그 후속 국가인증제도인 ISMS-P(2019년~) 등과 같은 개인정보보호 인증 제도를 운용하기 위해 천여 명의 인증 심사원이 필요했다는 점을 설명했다. 또한, 인증 수준을 체계적으로 관리하기 위한 방안으로 인증 심사원의 양적 확보와 함께 체계적인 교육과 관리를 위한 인증 시스템의 고도화가 필수적임을 강조하기도 했다. 한편 싱가포르 대표는 중소기업들이 비용부담으로 인해 CBPRs이나 PRP 제도에 참여하기 어려운 점을 고려하여 해당 기업들에 대해 일정 기간 인증 비용을 지원해주는 제도를 도입하였음을 설명하기도 했다.
APEC CBPR 워크숍에서 바른ICT연구소 김범수 소장이 대한민국이 지금까지 어떻게 CBPRs을 준비하였고, 인증책임기관으로 KISA의 참여 가능성과 그 준비과정에 대하여 설명하고 있다.
향후 정부의 보호 규제 활동과 실효성 제고
개인정보를 효과적으로 보호하면서도 경제 활성화를 지원하기 위한 국제적 개인정보 보호법 및 규제 제도로서 유럽에서는 GDPR의 국경 간 정보보호 규정, APEC에서는 CBPRs과 PRP 제도를 운용하고 있다. 일본은 유럽과 개인정보 상호적정성 제도를 통해 정보보호와 경제 활성화를 동시에 도모하고 있다. 그 외의 국가에서도 차별화된 법 제도를 운용하고 있거나, 점차 그 체계를 갖춰가고 있다. 서로 다른 정보보호 제도를 수용하면서 각국은 그동안 이들 제도를 경쟁적이고 배타적이라 여겨서 같이 수용할 수 없다고 판단 하여왔다. 일부에서는 궁극적으로 하나의 기준이나 표준으로 수렴해 갈 하는 것을 기대하는 시각도 존재해 왔다. 그와 함께 OECD, ICDPPC, IAPP, APEC 등의 국제회의에서는 서로 다른 제도를 이해하고, 시너지 효과를 높일 방법에 대해 지속해서 고민해 왔다.
다만 당분간은 개인정보의 이용과 보호 사이의 균형을 추구하는 과정에서, 모든 문제를 해결할 수 있는 하나의 법과 제도를 찾기보다는, 그러한 균형에 도움이 될 수 있는 몇 가지 제도를 시험적으로 병행하여 도입하거나 활용해 보고 그 실효성을 따져 제도화하는 접근법이 유효할 것으로 보인다. EU GDPR의 적정성 평가나 APEC CBPR 제도 중에서 하나를 선택하여, 대한민국의 국제간 개인정보보호 제도로 정착 시키기에는 제도별 특징이 사뭇 다르다. 효과적인 개인정보보호 제도를 만들어가는 과정은 개인과 기업, 사회, 국가를 종합적으로 이해하고 서로에게 도움이 될 방법을 모색하는 것으로, 이론과 논리뿐만 아니라 실질적인 데이터를 기반으로 정책을 수립하고 보완해 가는 것이 더 효과적일 수 있다. 특히, CBPR 제도처럼 국가 차원에서 전문인증기관 제도에 따라 인증하는 제도를 도입하게 된다면, 개인들에게도 관련 내용을 적극적으로 홍보하고 교육함으로써 개개인이 개인정보를 적절히 보호하는 기관과 그렇지 못한 기관을 식별하는 능력을 갖추도록 해야 하는 등 준비할 것이 많이 있다. 다행인 것은 대한민국은 유사한 인증 제도를 운용한 경험이 있어서, 더욱더 빠르게 제도를 안정적으로 운영할 수 있다는 점이다. 의무 제도에 기반을 둔 제도의 확산에서 탈피하고, 실효성을 위주로 한 자율적인 도입과 확산이 될 수 있도록 제도적 장치를 마련하고 중장기적인 성과를 기다릴 필요가 있다.
법이 요구하는 의무 중심의 정보보호 정책에서 한 발짝 벗어나 자율규제 방식의 정보보호 제도가 우리 사회에 정착하기까지는 상당히 많은 시간과 노력이 필요할 것이다. 그렇지만, 개인정보가 가진 잠재적 가치와 그것이 유출됐을 때 나타날 수 있는 위험의 크기를 고려했을 때 이러한 시도는 충분히 도전해 볼 가치가 있다.
본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/report_List.jsp)에서도 확인하실 수 있습니다.
KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.
KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원,KISA Report]라고 출처를 밝혀주시기 바랍니다.